Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Introduzione al System Administration - Gestione degli User Account e dell'accesso alle risorse

Capitolo 6. Gestione degli User Account e dell'accesso alle risorse

La gestione degli user account e dei gruppi rappresenta una parte essenziale della gestione del sistema all'interno di una organizzazione. Per eseguire tale operazione in modo efficace, un buon amministratore di rete deve prima capire cosa sono gli user account ed i gruppi ed il loro funzionamento.

Lo scopo principale sull'uso di un user account � quello di verificare l'identit� di ogni individuo tramite l'uso di un computer. Quello secondario (ma anch'esso importante) � quello di permettere di eseguire un tailoring individuale delle risorse e dei privilegi d'accesso.

Le risorse possono includere file, directory e dispositivi. Il controllo dell'accesso alle suddette risorse, rappresenta una fase importante del lavoro giornaliero di un amministratore di rete, spesso l'accesso ad una risorsa viene controllata dai gruppi. I gruppi sono delle costruzioni logiche che possono essere usati per eseguire un cluster degli user account per un unico scopo. Per esempio, se una organizzazione possiede amministratori multipli di sistema, gli stessi possono essere messi insieme in un unico gruppo di amministratori. Al gruppo, successivamente, pu� essere garantito il permesso di accedere alle risorse pi� importanti del sistema. In questo modo i gruppi possono rappresentare un tool molto potente per la gestione delle risorse e degli accessi.

Le seguenti sezioni affrontano gli user account ed i gruppi in modo pi� dettagliato.

6.1. Gestione degli User Account

Come precedentemente detto, gli user account rappresentano il metodo grazie al quale un individuo viene identificato ed autenticato. Gli user account possiedono diversi componenti. In primo luogo vi � il nome utente o 'username', poi la password seguita dalle informazioni di controllo per l'accesso.

Le seguenti sezioni affrontano ogni componente in modo pi� dettagliato.

6.1.1. Nome utente

Sotto il punto di vista del sistema, il nome utente rappresenta la risposta alla domanda "Chi sei?" Esso richiede una caratteristica molto importante —, deve essere unico. In altre parole, ogni utente deve avere un nome utente diverso da tutti gli altri utenti presenti nel sistema.

Per questo motivo, � importante determinare — in anticipo — come creare un nome utente. Altrimenti potreste trovarvi nella posizione di reagire ogni qualvolta un nuovo utente richieda un account.

Avrete bisogno quindi di avere una naming convention per i vostri user account.

6.1.1.1. Naming Convention

Creando una naming convention per il nome utente, sarete in grado di evitare molti grattacapi. Invece d'inventare nomi durante la prosecuzione del vostro lavoro (e trovarsi in difficolt� nella creazione di un nome accettabile), pianificateli prima ideando una convenzione da usare per gli user account. La vostra naming convention pu� essere molto semplice, ma � possibile anche che la sola descrizione potrebbe richiedere diverse pagine del documento.

La natura esatta della vostra naming convention dovrebbe considerare diversi fattori:

  • La dimensione della vostra organizzazione

  • La struttura della vostra organizzazione

  • La natura della vostra organizzazione

La dimensione della vostra organizzazione � importante in quanto indica il numero di utenti che la vostra naming convention � in grado di supportare. Per esempio, una organizzazione molto piccola potrebbe far si che gli utenti siano in grado di usare il proprio nome. Per una organizzazione pi� grande la suddetta naming convention potrebbe non funzionare.

La struttura di una organizzazione potrebbe anche orientarsi facilmente sulla naming convention pi� appropriata. Per organizzazioni con una struttura molto rigida e definita, potrebbe risultare idoneo includere elementi della stessa struttura all'interno della naming convention. Per esempio potreste includere i codici di una sezione della vostra organizzazione come parte di ogni nome utente.

A causa della natura della vostra organizzazione, si potrebbe verificare che alcune naming convention possono risultare pi� appropriate di altre. Una organizzazione che tratta con dati riservati potrebbe scegliere una naming convention in grado di fare riferimento all'individuo con parte del proprio nome. In tali organizzazioni il nome utente di Maggie McOmie potrebbe divenire LUH3417.

Ecco altre naming convention che altre organizzazioni hanno usato in precedenza:

  • Nome (john, paul, george, ecc.)

  • Cognome (smith, jones, brown, ecc.)

  • Iniziale del proprio nome seguita dal cognome (jsmith, pjones, gbrown, ecc.)

  • Cognome seguito dal codice del reparto (smith029, jones454, brown191, ecc.)

SuggerimentoSuggerimento
 

Siate a conoscenza che se la vostra naming convention include diversi tipi di dati, ne potrebbe scaturire un nome utente con contenuto offensivo o ridicolo. Per questo motivo, anche se possedete un metodo di creazione automatizzato, � suggeribile avere una forma di revisione.

In comune con la naming convention discritta qui di seguito, � la possibilit�, in accordo con la naming convention stessa, di conferire a due individui lo stesso nome utente. Ci� viene chiamato collision. A causa della unicit� di ogni nome utente, � necessario risolvere la suddetta problematica. La sezione seguente mostra come fare.

6.1.1.1.1. Come affrontare le Collision

Le collisioni sono una prassi — non ha importanza quanto proviate, � sicuro che prima o poi vi troverete di fronte ad una collision. � importante pianificare questa eventualit� durante la creazione di una naming convention. Ci sono diversi modi per fare questo:

  • Aggiungere una sequenza numerica al nome utente es.(smith, smith1, smith2, ecc.)

  • Aggiungere dati specifici dell'utente al nome utente in questione (smith, esmith, eksmith, ecc.)

  • Aggiungere informazioni inerenti l' organizzazione al nome utente (smith, smith029, smith454, ecc.)

Implementare un metodo per risolvere le problematiche delle collision, rappresenta una necessit� nel contesto della naming convention. Tuttavia, per un individuo esterno all'organizzazione, il lavoro di determinazione del nome utente pu� risultare pi� difficoltoso. Per questo motivo � possibile che si possa verificare l'invio di email ad indirizzi sbagliati.

6.1.1.2. Come affrontare i cambiamenti dei nomi

Se la vostra organizzazione usa una naming convention basata sul nome di ogni utente, � probabile che dobbiate affrontare la problematica dovuta al cambiamento del nome. Anche se il nome di una persona non varia, potrebbe essere necessario di tanto in tanto, modificare il nome utente. Il motivo potrebbe essere dato dall'insoddisfazione di un dirigente dell'organizzazione, che usa la sua autorit� per ottenere un nome utente "pi� appropriato".

Non ha importanza il motivo per quale si debba cambiare il nome utente, ma nel fare questo tenete presente le seguenti problematiche:

  • Eseguire i cambiamenti su tutti i sistemi interessati

  • Mantenere sempre aggiornati e costanti le informazioni sull'identificazione dell'utente

  • Canbiare l'ownership di tutti i file e altre risorse specifiche dell'utente (se necessario)

  • Gestire le problematiche relative alle email

Innanzitutto, � importante assicurarsi che il nuovo nome utente venga inoltrato a tutti i sistemi, dove il nome utente originale era precedentemente in uso. Se questa operazione non viene eseguita, qualsiasi funzione del sistema operativo che si affida al nome utente potrebbe funzionare in alcuni sistemi, ma non funzionare in altri. Alcuni sistemi operativi usano un controllo d'accesso basato sul nome utente, tali sistemi potrebbero essere particolarmente vulnerabili ai problemi dovuti alla variazione del nome utente stesso.

Molti sistemi operativi usano dei numeri d'identificazione utente per molte funzioni 'user-specific'. Per minimizzare i problemi dovuti al cambiamento del nome utente, cercate di mantenere costante il numero d'identificazione tra il nuovo utente ed il vecchio. Se non tenete presente quanto detto, l'utente potrebbe non essere in grado di accedere i propri file e altre risorse precedentemente disponibili.

Se il suddetto numero d'identificazione deve essere cambiato, � necessario cambiare l'ownership per tutti i file e per le risorse del tipo 'user-specific', in modo da riflettere le nuove informazioni sull'identificazione dell'utente. Questo pu� rappresentare un processo error-prone, in quanto potreste sempre tralasciare qualcosa.

Le problematiche riguardanti le email sono con tutta probabilit�, l'area dove il cambiamento del nome utente potrebbe essere pi� complicato. Il motivo principale potrebbe essere quello dove le email inviate al vecchio nome utente, potrebbero non essere recapitate a quello nuovo.

Sfortunatamente, le problematiche che si verificano quando si effettua un cambiamento del nome utente sono, per quanto riguarda le email, molteplici. La pi� semplice potrebbe essere quella dove le persone non sono a conoscenza del nuovo nome utente. A prima vista potrebbe non risultare un problema serio —, in quanto risulta molto semplice informare tutto il personale interno di una organizzazione. Ma cosa dire di coloro esterni all'organizzazione stessa che hanno inviato email alla persona in questione? Come si potrebbe effettuare la notifica di quanto accaduto? E per quanto riguarda le mailing list (sia quelle interne che esterne)? Come possono essere aggiornate?

Purtroppo non vi � una risposta semplice a questo. La risposta migliore potrebbe essere quella di creare una email alias in modo tale che tutte le email inviate, possano essere automaticamente inoltrate al nuovo nome utente. L'utente a sua volta dovrebbe informare coloro che inviano tali email, che il nome utente � cambiato. Con il tempo, sempre meno email saranno inviate all'email alias, permettendo cos� la rimozione dello stesso.

Mentre l'uso degli alias, in alcuni casi, potrebbe dare luogo a interpretazioni errate (come ad esempio un utente conosciuto ora come esmith 'nuovo nome utente', viene sempre indicato come ejones 'vecchio nome utente'), gli stessi alias rappresentano l'unico modo per garantire che le email arrivino alla persona corretta.

ImportanteImportante
 

Se usate gli alias, assicuratevi di seguire tutte le fasi necessarie per evitare il riuso del vecchio nome utente. Se non seguite le suddette fasi, ed un nuovo utente riceve un vecchio nome utente, la consegna delle email (sia per l'utente originale che per l'utente nuovo), potrebbe risultare molto confusa. L'esatta natura di tale problema dipende dall'implementazione, sul vostro sistema operativo, della consegna delle email. I due sintomi pi� comuni potrebbero essere:

  • Il nuovo utente potrebbe non ricevere le email — le stesse andranno all'utente originale.

  • L'utente originale improvvisamente non riceve pi� le email — le stesse vengono inoltrate al nuovo utente.

6.1.2. Password

Se il nome utente � in grado di fornire una risposta alla domanda, "chi sei?", la password � la risposta alla domanda seguente:

"Provalo!"

In altri termini, una password fornisce il mezzo tramite il quale viene riconosciuta una persona. L'efficacia dello schema di autenticazione basato sulla password si affida pesantemente su diversi aspetti:

  • Segretezza della password

  • La difficolt� ad indovinare la password

  • La resistenza della password ad un attacco forzato

Le password che rispettano i suddetti presupposti vengono chiamate forti, mentre ovviamente quelle che non seguono lo schema sopra riportato vengono chiamate deboli. La creazione di password forti risulta essere molto importante per la sicurezza dell'organizzazione, in quanto pi� forti esse sono, minore � la possibilit� di indovinarle. Sono disponibili due opzioni per attuare l'uso di password forti:

  • Creazione delle password per tutti gli utenti da parte dell'amministratore del sistema.

  • L'amministratore potrebbe lasciare il compito della creazione della password direttamente all'utente, verificando per� che le password create siano sufficientemente forti.

La creazione delle password per tutti gli utenti, assicura che le stesse siano forti, ma tale approccio potrebbe assumere aspetti negativi con la crescita dell'organizzazione. Tale metodo potrebbe anche aumentare il rischio che gli utenti possano scrivere le proprie password su di un foglietto.

Per queste ragioni, molti amministratori preferiscono autorizzare i propri utenti alla creazione delle proprie password. Tuttavia, un buon amministratore verifica sempre che le stesse siano sufficientemente forti.

Per una guida sulla creazione delle password, consultare il capitolo Workstation Security nella Red Hat Enterprise Linux Security Guide.

La necessit� da parte di un amministratore di mantenere segrete le password, deve essere un elemento indispensabile durante la gestione dei sistemi. Tuttavia, questo punto non viene percepito da molti utenti, infatti essi non riescono a capire la differenza che intercorre tra il nome utente e le password. Constatato ci�, � vitale educare gli utenti, in modo che gli stessi capiscano che le proprie password devono essere mantenute segrete.

Le password devono essere difficili da indovinare, Una password forte � quella che risulta essere impossibile da indovinare, anche se l'aggressore conosce molto bene l'utente.

Un attacco tipo 'brute-force' ad un password comporta un tentativo metodico (generalmente tramite un programma chiamato password-cracker) di ogni combinazione possibile di caratteri, nella speranza che la corretta password venga trovata. Una password forte deve essere creata in modo tale che l'aggressore sia obbligato a trascorrere molto tempo prima di poter indovinare quella corretta.

Sia le password forti che quelle deboli verranno affrontate in dettaglio nelle sezioni seguenti.

6.1.2.1. Password deboli

Come precedentemente accennato, una password debole non rispecchia le seguenti regole:

  • � segreta

  • � difficile da indovinare

  • � risistente agli attacchi che usano 'forza-bruta'

Le seguenti sezioni mostrano come una password possa essere debole.

6.1.2.1.1. Password corte

Una password corta � debole in quanto potrebbe essere pi� facilmente soggetta ad attacchi che usano 'forza-bruta'. Per illustrare quanto detto, considerate la seguente tabella, dove il numero delle potenziali password da provare in un attacco � conosciuto. (Le password in questione hanno tutte lettere minuscole.)

Lunghezza della passwordPassword potenziali
126
2676
317,576
4456,976
511,881,376
6308,915,776

Tabella 6-1. Lunghezza della password contro il numero delle potenziali password

Come potete vedere, il numero delle possibili password aumenta sensibilmente in accordo con la lunghezza.

CautelaNota bene
 

Anche se questa tabella termina con sei caratteri, ci� non significa che le password a sei caratteri sono sufficientemente lunghe ed idonee per la sicurezza del sistema. In generale, pi� la password � lunga meglio �.

6.1.2.1.2. Set di caratteri limitati

Il numero di diversi caratteri che costituisce una password, ha un impatto sostanziale nel modo di condurre un attacco con l'uso di forza bruta da parte di un aggressore. Per esempio, invece di usare solo 26 caratteri, nel caso in cui usassimo solo caratteri minuscoli, che ne dite di usare anche i numeri? Questo significherebbe che ogni carattere all'interno di una password, potrebbe essere uno di 36 caratteri invece di 26. Nel caso di una password a sei caratteri, questo aumenterebbe il numero di password possibili da 308,915,776 a 2,176,782,336.

C'� ancora molto che pu� essere fatto. Se includessimo anche un mix di caratteri alfanumerici con lettere minuscole e maiuscole (per sistemi operativi che lo supportano), il numero di possibili combinazioni per una password aumenterebbe a 56,800,235,584. Aggiungendo altri caratteri (come ad esempio la punteggiatura), tale combinazione aumenterebbe sensibilmente, rendendo un attacco con forza bruta ancora pi� difficoltoso.

Tuttavia � da ricordare che non tutti gli attacchi usano forza bruta. Le sezioni seguenti descrivono altre cause che d'anno origine a password deboli.

6.1.2.1.3. Parole comuni

La maggior parte degli attacchi alle password si basano sul fatto che molte persone usano parole semplici da ricordare. E per molte persone, le password facili da ricordare contengono parole comuni. Per questo motivo, molti attacchi vengono eseguiti usando parole presenti nel dizionario. In altre parole, l'aggressore usa le suddette parole per riuscire ad indovinare la parola chiave che compone una password.

NotaNota bene
 

Molti programmi d'attacco basati sulle parole presenti nel dizionario, usano diverse lingue. Per questo motivo, non pensiate di avere una password forte solo perch� usate una parola di lingua diversa dalla vostra.

6.1.2.1.4. Informazioni personali

Le password che contengono informazioni personali (ad esempio il nome o la data di nascita di una persona cara, il nome di un animale, o il numero d'identificazione personale) potrebbe essere individuato da un attacco basato con una parola presente nel dizionario. Tuttavia se l'aggressore vi conosce personalmente (oppure se � abbastanza motivato da ricercare nella vostra vita privata), potrebbe essere in grado di indovinare la vostra password con poco o nessuno sforzo.

In aggiunta alle parole presenti nel dizionario, molti aggressori potrebbero usare anche nomi comuni, date e altre informazioni di questo genere. Per questo motivo, anche se l'aggressore non conosce il nome del vostro cane, Gracie, egli potrebbe essere in grado di sapere che la vostra password � "mydogisgracie", utilizzando un buon programma di attacco della password.

6.1.2.1.5. Trucchi semplici

Usando una qualsiasi delle informazioni precedentemente affrontate come base per la vostra password, e invertendo l'ordine dei caratteri, non sarete comunque in grado di tramutare una password debole in una forte. Molti programmi password-cracker sono in grado di eseguire molti trucchi per ottenere le possibili password. Essi possono includere la sostituzione di numeri con lettere ecc. Ecco alcuni esempi:

  • drowssaPdaB1

  • R3allyP00r

6.1.2.1.6. La stessa password per sistemi multipli

Anche se possedete una password forte, non � consigliabile usare la stessa password per pi� di un sistema. Ovviamente non si pu� fare diversamente se si � in presenza di sistemi configurati in modo tale da usare un server centrale di autenticazione, ma in qualsiasi altro caso, si consiglia vivamente l'uso di una password diversa per ogni sistema.

6.1.2.1.7. Trascrizione della password su foglietti

Un altro modo per trasformare una password forte in una debole, � quello di trascriverla su di un pezzo di carta. Trascrivendola su carta, annullerete la segretezza della vostra password, in cambio avrete cos� un problema di sicurezza 'fisica' — ci� significa che dovrete fare in modo di mantenere quel pezzettino di carta al sicuro. Per questo motivo, trascrivere la vostra password su di un pezzettino di carta, non � consigliabile.

Tuttavia, alcune organizzazioni hanno la necessit� di avere delle password scritte. Per esempio, alcune organizzazioni adottano una password scritta come procedura di ripristino dovuta alla perdita di personale importante (ad esempio un amministratore del sistema). In questi casi, il pezzettino di carta contenente le password, � conservato in un luogo fisico sicuro che necessita della cooperazione di diverse persone per ottenere il suo accesso. Per questo motivo vengono spesso usate piccole casseforti con serrature multiple, o cassette bancarie di sicurezza.

Qualsiasi organizzazione che adotta questo tipo di sistema, tenga sempre in considerazione che l'esistenza di una password scritta presenta sempre un certo rischio, anche se la stessa viene conservata in un luogo molto sicuro. Ci� aumenterebbe il rischio se si � a conoscenza che la password � stata trascritta (ed il luogo nella quale essa viene conservata).

Sfortunatamente le password trascritte non fanno parte di una procedura di recupero e non sono conservate in casseforti, ma esse sono password di utenti normali, e vengono conservate nei seguenti luoghi:

  • In un cassetto (sotto chiave o senza alcun tipo di protezione)

  • Sotto una tastiera

  • All'interno di un partafoglio

  • Attaccata ai lati di un monitor

Nessuno dei luoghi indicati � idoneo a conservare una password.

6.1.2.2. Password forti

Precedentemente abbiamo descritto le password deboli, le sezioni seguenti descriveranno tutte le caratteristiche di una password forte.

6.1.2.2.1. Password pi� lunghe

Pi� lunghe sono le password, e maggiore sar� la possibilit� che un attacco del tipo 'forza-bruta' non abbia successo. Per questo motivo, se il vostro sistema operativo lo supporta, impostate per i vostri utenti, una password relativamente lunga.

6.1.2.2.2. Set esteso di caratteri

Incoraggiare l'uso di lettere minuscole e maiuscole, password alfanumeriche, e l'aggiunta di almeno un carattere non alfanumerico:

  • t1Te-Bf,te

  • Lb@lbhom

6.1.2.2.3. Da ricordare

Una password � forte solo se si pu� ricordare. Tuttavia facile da ricordare e facile da indovinare coincidono molto spesso tra loro. Per questo motivo, divulgate ai vostri utenti alcuni suggerimenti per la creazione di password facili da ricordare ma difficili da indovinare.

Per esempio, prendete un detto o una frase, e usate le prime lettere di ogni parola come punto di partenza per la creazione della nuova password. Il risultato sar� facile da ricordare (in quanto la frase o il detto in s� per s� sono semplici da ricordare), ed il risultato non conterr� alcuna parola comune.

NotaNota bene
 

Tenete presente che non basta usare le prime lettere di ogni parola per ottenere una password sufficientemente sicura. Assicuratevi di aumentare sempre il numero dei caratteri che compongono la password stessa, usando caratteri alfanumerici, lettere minuscole e maiuscole e almeno un carattere speciale.

6.1.2.3. Invecchiamento della password

Se possibile, implementate il metodo d'invecchiamento della password. Tale metodo � un contenuto (disponibile su molti sistemi operativi), che imposta i limiti entro i quali una password viene considerata valida. Alla fine del ciclo di validit� di una password, verr� richiesto all'utente di inserire una nuova password, che potr� essere usata fino a quando la stessa non raggiunge il tempo limite impostato.

La domanda chiave alla quale molti amministratori devono trovare risposta, � quella di dare un tempo di validit� alla password. Ma quanto tempo deve durare la password?

Ci sono due problematiche diametralmente opposte per quanto riguarda la durata della validit� della password:

  • Comodit� per l'utente

  • Sicurezza

Una password con una durata di 99 anni rappresenterebbe, in modo minimo o nullo, alcun problema per l'utente. Tuttavia, non sar� in grado di fornire alcun miglioramento della sicurezza.

D'altro canto, una durata di 99 minuti potrebbe presentare delle inconvenienze da parte degli utenti. Tuttavia, la sicurezza sarebbe migliorata sensibilmente.

L'idea � quella di trovare un equilibrio tra l'agevolazione dei vostri utenti, e le necessit� inerenti la sicurezza della vostra organizzazione. Per molte organizzazioni, la durata delle password, tradotte in settimane e mesi, rappresentano le prassi pi� comuni.

6.1.3. Informazioni per il controllo dell'accesso

Insieme con il nome utente e la password, gli user account contengono anche le informazioni sul controllo dell'accesso. Queste informazioni prendono forma a seconda dei sistemi operativi in uso. Tuttavia, le informazioni spesso includono:

  • L'identificazione specifica dell'utente nel sistema

  • L'identificazione specifica del gruppo nel sistema

  • Elenchi di gruppi aggiuntivi/capacit� alle quali � membro l'utente

  • Informazioni d'accesso di default da applicare a tutti i file creati dagli utenti e alle risorse

In alcune organizzazioni, non vi � la necessit� di 'toccare' le informazioni per il controllo dell'accesso dell'utente. Questo � solitamente il caso con standalone, e personal workstation. Altre organizzazioni, in particolare quelle che fanno uso continuo di risorse della rete e condividono con gruppi e utenti diversi, richiedono invece una modifica continua delle suddette informazioni.

Il carico di lavoro necessario per gestire in modo corretto le informazioni per il controllo dell'accesso del vostro utente, variano a seconda dell'utilizzo fatto dalla vostra organizzazione dei suddetti contenuti. Anche se non � una prassi scorretta affidarsi cos� fortemente a questi contenuti (infatti, potrebbe risultare inevitabile), ci� potrebbe significare che l'ambiente del vostro sistema, potrebbe necessitare di pi� attenzione nella gestione, in aggiunta, ogni user account potrebbe presentare molteplici modi per essere configurato in modo non corretto.

Per questo motivo, se la vostra organizzazione necessita di questo tipo di ambiente, � consigliato creare una guida dove vengono riportate le varie fasi necessarie per creare e configurare correttamente un user account. Infatti, se sono presenti diversi tipi di user account, dovreste documentarli tutti (creando un nuovo finance user account, un nuovo operations user account, ecc.).

6.1.4. Gestione degli account e dell'accesso alle risorse giorno per giorno

Un vecchio detto dice, l'unica cosa costante � il cambiamento. In questo contesto non vi � alcuna differenza con gli utenti della vostra community. Le persone vanno e vengono, molte cambiano la loro area di responsabilit�. Cos�, gli amministratori, devono essere in grado di far fronte ai cambiamenti, in quanto essi fanno parte della vita giornaliera della vostra organizzazione.

6.1.4.1. Nuovi dipendenti

Quando viene assunta una nuova persona, gli si d� la possibilit� di accedere a diverse risorse (a seconda della loro carica). Verranno resi disponibili una scrivania, un telefono e la chiave d'ingresso.

Potrebbero anche aver accesso ad uno o pi� computer. Come amministratore di sistema, � vostra responsabilit� che ci� venga fatto in modo responsabile e corretto. Quindi come farlo in modo corretto?

Prima di tutto dovete essere a conoscenza dell'arrivo di una nuova persona. Questo � gestito in modo differente a seconda dell'organizzazione. Ecco alcuni esempi:

  • Attuate una procedura dove ogni qualvolta si assume una nuova persona, voi verrete subito informati.

  • Create un modulo da far completare dal supervisore del nuovo impiegato con la richiesta di un nuovo account.

A seconda dell'organizzazione vi sono approcci diversi. Tuttavia � necessario farlo, � importante avere un processo molto affidabile, in grado di informarvi sugli interventi da apportare nei confronti degli account dei vostri utenti.

6.1.4.2. Termine di un rapporto lavorativo

� normale che alcune persone decidano di terminare il loro rapporto lavorativo con la vostra organizzazione. Talvolta si pu� terminare questo rapporto in modo consenziente e talvolta in modo un p� pi� brusco. In entrambi i casi, � importante essere informati di questi eventi, per poter apportare da parte vostra le azioni pi� appropriate.

� importante che le suddette azioni includano:

  • Disabilitare la possibilit� d'accesso da parte dell'utente, a tutti i sistemi e le relative risorse ( generalmente cambiando/invalidando la password dell'utente stesso)

  • Eseguire il back up di tutti i file, nel caso si presenti la necessit� di usarli in futuro

  • Coordinare l'accesso ai file dell'utente da parte del suo manager

La cosa pi� importante � quella di rendere sicuri i vostri sistemi nei confronti del personale che ha terminato un rapporto lavorativo. Ci� � particolarmente importante se vi � stato un licenziamento e che tale azione abbia scaturito nella persona licenziata, uno stato d'animo di rancore nei confronti della vostra organizzazione. Tuttavia, anche se la persona abbia volontariamente deciso di interrompere il proprio rapporto con l'organizzazione, rientra negli interessi dell'organizzazione stessa disabilitare la possibilit� di accesso ai sistemi e alle risorse.

Questo indica la necessit� di essere informati ogni volta che si verifica una cessazione nel rapporto lavorativo — e possibilmente anche prima che questo accada. Ci� implicher� un maggiore coinvolgimento da parte vostra con il personale della vostra organizzazione, in modo tale da essere avvertiti in tempi molto brevi.

SuggerimentoSuggerimento
 

Durante la gestione di un "lock-down" del sistema come risposta ad una cessazione del rapporto lavorativo, tenete presente che la tempestivit� delle vostre azioni � molto importante. Se il lock down si manifesta dopo che il processo di terminazione � stato completato, si potrebbe verificare un accesso non autorizzato. Tuttavia se il suddetto lock down si manifesta prima che il processo sia stato avviato, il personale in questione potrebbe essere informato, rendendo difficile cos� la prassi di terminazione del rapporto lavorativo.

Tale cessazione ha inizio con un meeting tra la persona interessata, il suo manager, e una rappresentanza della vostra sezione. Tuttavia, la presenza di una procedura che vi metta a conoscenza dell'inizio di questo procedimento � molto importante, in quanto f� si che il periodo di lock down sia appropriato.

Una volta disabilitato l'accesso, � necessario eseguire un back up dei file del personale in questione. Tale procedura potrebbe far parte di uno standard seguito dalla vostra organizzazione, il modo con il quale eseguire il suddetto back up viene regolato da leggi precise che garantiscono la privacy.

Ad ogni modo, eseguire un back up � una pratica molto valida in quanto si potrebbero cancellare (accesso da parte del manager ai file della persona 'terminata') accidentalmente file importanti. In queste circostanze, avere un back up aggiornato, rende possibile far fronte alle problematiche della suddetta cancellazione, facilitando cos� il processo.

A questo punto dovete determinare il tipo di accesso ai file da conferire al manager del personale appena 'terminato'. A seconda dell'organizzazione e della natura dei compiti del suddetto personale, � possibile che non sia necessario conferire alcun tipo di accesso, oppure permettere un accesso completo.

Se il personale era in grado di utilizzare i vostri sistemi per inviare non solo le email riguardanti gli incidenti verificatisi, ma anche email pi� complesse, allora � necessario che anche il manager in questione sia a conoscenza del contenuto delle email, e determinare quindi le email da cancellare e quelle da conservare. Alla fine di questo processo � possibileinoltrare ai sostituti, i file posseduti dal personale 'terminato'. Potrebbe essere necessaria la vostra presenza durante l'esecuzione di questo processo, tutto dipende dalla natura e dal contenuto dei file che la vostra organizzazione deve gestire.

6.1.4.3. Modifiche degli incarichi

La creazione degli account per nuovi utenti e la gestione delle fasi necessarie per eseguire un lock-down dell'account di un utente 'terminato', sono procedimenti molto semplici. Tuttavia il suddetto procedimento potrebbe rappresentare qualche ostacolo se il personale assume un incarico diverso pur restando all'interno della stessa organizzazione. Talvolta il personale pu� richiedere la variazione del proprio account.

Per accertarsi che il nuovo account sia riconfigurato in modo corretto, � necessaria la presenza di almeno tre persone:

  • Voi

  • Il precedente manager dell'utente in questione

  • Il nuovo manager

Insieme, dovreste essere in grado di determinare le azioni per terminare in modo corretto le responsabilit� precedenti, e intraprendere le azioni appropriate per creare un nuovo account con nuovi incarichi. In molti casi questo processo potrebbe essere simile alla chiusura di un vecchio account e alla creazione di uno nuovo. Molte organizzazioni adottano quest'ultima procedura.

Tuttavia � molto probabile che l'account in questione venga modificato per adattarsi alle nuove responsabilit�. Questo tipo di approccio richiede molta attenzione da parte vostra nel rivedere l'account e assicurarvi che lo stesso abbia nuove risorse e privilegi idonei ai nuovi incarichi.

Per complicare la situazione si potrebbe verificare l'opportunit� che una persona sia chiamata a ricoprire due incarichi contemporaneamente. In questo caso il precedente manager insieme con quello nuovo, potranno aiutarvi garantendovi un periodo di tempo per far fronte a questa eventualit�.

 
 
  Published under the terms of the GNU General Public License Design by Interspire